Для приложений, работающих с аккаунтами Google, например, для почтовых клиентов IMAP, предусмотрена возможность использования специальных машинно-генерируемых паролей. Этот пароль приложение предоставляет вместо пары из реального пароля доступа к аккаунту и кода верификации. Пароль приложения (application-specific password, ASP) можно в любой момент отозвать.
В Duo Security подчеркивают, что ASP — это не индивидуальные, а универсальные пароли приложений: ASP, созданный для почтового клиента, будет работать и с другими программами. Исследователи нашли брешь в механизме автоматического входа, реализованном в браузере Chrome из последних версий Android: атакующий, укравший ASP, может изменить ассоциированный с аккаунтом номер мобильного телефона или совсем отключить двухфакторную аутентификацию.
Зная имя пользователя и ASP, можно через запрос к https://android.clients.google.com/auth зайти на любой сервис Google без ввода второго фактора, объясняют исследователи. В Google разослали исправление, устраняющее брешь, но механизм ASP в аккаунтах по-прежнему действует.